Индустрия киберпреступности обошлась миру в три триллиона долларов в 2015 году и, по прогнозам, к 2021 году сумма вырастет до шести триллионов. Оцениваются все издержки в комплексе – например, в атаке с использованием шифратора мы считаем не только сумму выкупа, но и расходы от снижения производительности, последующее усиление мер безопасности, имиджевый ущерб и не только.
Киберпреступность как сервис не является чем-то принципиально новым. Разработчики вредоносного ПО предлагают продукты или инфраструктуру на черном рынке. Но что конкретно они продают и сколько это стоит? Мы просмотрели несколько сайтов в даркнете, чтобы найти ответы на эти вопросы.
В даркнете доступно множество пакетов программ-вымогателей. Обновления, техподдержка, доступ к C&C-серверам, тарифные планы – все как у «белого» ПО, за исключением законодательного запрета.
Рисунок 1. Программа-вымогатель Ranion доступна в даркнете
В составе одного из пакетов предлагается вымогатель Ranion, он доступен по подписке на месяц и год. Есть несколько тарифных планов, минимальная плата начинается от 120 долларов в месяц. Премиум-комплектация – 900 долларов в год или 1900 долларов, если заказчик захочет добавить к исполняемому файлу программы дополнительные функции.
Рисунок 2. Варианты подписки на Ranion, предлагаемой киберпреступниками
Возможна другая схема оплаты – киберпреступники предоставляют вредоносное ПО или доступ к C&C-инфраструктуре бесплатно, а затем забирают себе часть средств, полученных от жертв.
Какая бы стратегия ни была применена, мы видим, что арендатор берет на себя дальнейшие операции с малварью. Ему нужно доставить программу до устройства жертвы, например, с помощью спам-рассылки или доступ к уязвимым серверам через RDP.
В даркнете можно найти сервисы, предлагающие учетные данные для доступа к серверам через протокол RDP. Цена – в диапазоне 8-15 долларов за один сервер, их можно сортировать по стране, операционной системе, даже по тому, на какие сайты оплаты пользователи заходили с этих серверов.
Рисунок 3. Продажа доступа к серверам в Колумбии через RDP
На рисунке выше – фильтр по 250 доступным серверам, расположенным в Колумбии. Для каждого сервера приведена детальная информация, которую можно увидеть на следующем изображении.
Рисунок 4. Описание сервера, доступ к которому продается в даркнете
После покупки доступа киберпреступник может воспользоваться им для запуска программы-вымогателя или установить более скрытное вредоносное ПО, троян или шпионскую программу.
Некоторые операторы ботнетов сдают в аренду их вычислительные мощности для рассылки спама или DDoS-атак.
Стоимость таких атак варьируется в зависимости от продолжительности (в диапазоне от 1 до 24 часов) и от того, сколько трафика ботнет может в это время генерировать. На рисунке ниже вариант с трехчасовой атакой за 60 долларов.
Рисунок 5. Пример предложения с арендой инфраструктуры для DDoS-атаки
Некоторые предлагают аренду своих (как правило, небольших) ботнетов для атак на серверы онлайн-игр, например, Fortnite. Они же нередко продают краденые аккаунты. Для продвижения «сервисов» используются социальные сети, владельцы аккаунтов особо не беспокоятся об анонимности.
Рисунок 6. Предложения по аренде ботнетов в Instagram
Рисунок 7. Пользователи YouTube демонстрируют DDoS-атаки на серверы Fortnite
Операторы успешных фишинговых атак зачастую не рискуют использовать украденные аккаунты самостоятельно. Более безопасно и рентабельно перепродать добычу другим киберпреступникам. Как можно видеть в таблице ниже, они берут около 10% от средств на скомпрометированном счете.
Рисунок 8. Продажа аккаунтов PayPal и кредитных карт
Некоторые продавцы гордо демонстрируют фейковые сайты и другие инструменты для фишинга.
Рисунок 9. Пошаговое описание процесса
В презентации на Segurinfo 2018 евангелист ESET Тони Энскомб отметил, что индустрия разработки вредоносных программ теперь напоминает софтверную компанию. Предлагаемое киберпреступниками ПО, продукты и сервисы с успехом используют схемы, позаимствованные в «легальных» продажах и дистрибуции.
В даркнете функционирует полноценная индустрия с продажами, маркетингом, постпродажным обслуживанием, выпуском обновлений ПО и мануалов. В экосистеме много внутренних покупателей, а основная прибыль достается крупным игрокам, обладающим наиболее развитой инфраструктурной сетью и ассортиментом. Как результат развития «индустрии» – более широкая доступность вредоносных программ в сочетании с их технологическим усложнением.
Киберпреступность как сервис не является чем-то принципиально новым. Разработчики вредоносного ПО предлагают продукты или инфраструктуру на черном рынке. Но что конкретно они продают и сколько это стоит? Мы просмотрели несколько сайтов в даркнете, чтобы найти ответы на эти вопросы.
Вымогатель как сервис
В даркнете доступно множество пакетов программ-вымогателей. Обновления, техподдержка, доступ к C&C-серверам, тарифные планы – все как у «белого» ПО, за исключением законодательного запрета.
Рисунок 1. Программа-вымогатель Ranion доступна в даркнете
В составе одного из пакетов предлагается вымогатель Ranion, он доступен по подписке на месяц и год. Есть несколько тарифных планов, минимальная плата начинается от 120 долларов в месяц. Премиум-комплектация – 900 долларов в год или 1900 долларов, если заказчик захочет добавить к исполняемому файлу программы дополнительные функции.
Рисунок 2. Варианты подписки на Ranion, предлагаемой киберпреступниками
Возможна другая схема оплаты – киберпреступники предоставляют вредоносное ПО или доступ к C&C-инфраструктуре бесплатно, а затем забирают себе часть средств, полученных от жертв.
Какая бы стратегия ни была применена, мы видим, что арендатор берет на себя дальнейшие операции с малварью. Ему нужно доставить программу до устройства жертвы, например, с помощью спам-рассылки или доступ к уязвимым серверам через RDP.
Продажа доступа к серверам
В даркнете можно найти сервисы, предлагающие учетные данные для доступа к серверам через протокол RDP. Цена – в диапазоне 8-15 долларов за один сервер, их можно сортировать по стране, операционной системе, даже по тому, на какие сайты оплаты пользователи заходили с этих серверов.
Рисунок 3. Продажа доступа к серверам в Колумбии через RDP
На рисунке выше – фильтр по 250 доступным серверам, расположенным в Колумбии. Для каждого сервера приведена детальная информация, которую можно увидеть на следующем изображении.
Рисунок 4. Описание сервера, доступ к которому продается в даркнете
После покупки доступа киберпреступник может воспользоваться им для запуска программы-вымогателя или установить более скрытное вредоносное ПО, троян или шпионскую программу.
Аренда инфраструктуры
Некоторые операторы ботнетов сдают в аренду их вычислительные мощности для рассылки спама или DDoS-атак.
Стоимость таких атак варьируется в зависимости от продолжительности (в диапазоне от 1 до 24 часов) и от того, сколько трафика ботнет может в это время генерировать. На рисунке ниже вариант с трехчасовой атакой за 60 долларов.
Рисунок 5. Пример предложения с арендой инфраструктуры для DDoS-атаки
Некоторые предлагают аренду своих (как правило, небольших) ботнетов для атак на серверы онлайн-игр, например, Fortnite. Они же нередко продают краденые аккаунты. Для продвижения «сервисов» используются социальные сети, владельцы аккаунтов особо не беспокоятся об анонимности.
Рисунок 6. Предложения по аренде ботнетов в Instagram
Рисунок 7. Пользователи YouTube демонстрируют DDoS-атаки на серверы Fortnite
Продажа аккаунтов PayPal и кредитных карт
Операторы успешных фишинговых атак зачастую не рискуют использовать украденные аккаунты самостоятельно. Более безопасно и рентабельно перепродать добычу другим киберпреступникам. Как можно видеть в таблице ниже, они берут около 10% от средств на скомпрометированном счете.
Рисунок 8. Продажа аккаунтов PayPal и кредитных карт
Некоторые продавцы гордо демонстрируют фейковые сайты и другие инструменты для фишинга.
Рисунок 9. Пошаговое описание процесса
В презентации на Segurinfo 2018 евангелист ESET Тони Энскомб отметил, что индустрия разработки вредоносных программ теперь напоминает софтверную компанию. Предлагаемое киберпреступниками ПО, продукты и сервисы с успехом используют схемы, позаимствованные в «легальных» продажах и дистрибуции.
В даркнете функционирует полноценная индустрия с продажами, маркетингом, постпродажным обслуживанием, выпуском обновлений ПО и мануалов. В экосистеме много внутренних покупателей, а основная прибыль достается крупным игрокам, обладающим наиболее развитой инфраструктурной сетью и ассортиментом. Как результат развития «индустрии» – более широкая доступность вредоносных программ в сочетании с их технологическим усложнением.
Комментарии (3)
teecat
01.02.2019 09:49+1Честно говоря больше волнует не то, что в даркнете можно найти нужное злоумышленникам. А то, что при простейшем поиске в Рунете находятся кучи предложений — от продаже готовых майнеров и до найма дропов. В вот попробуешь сделать поиск на английском — и найти очень сложно. Хотя там никакого Роскомнадзора нет
Leon_aka_KoHb
Только вершина айсберга, сколько сайтов по «пробивам», покупке информации о людях, услуги по восстановлению симок и не только такие услуги. На подобных форумах и от людей задействованных в определенных структурах, в т.ч банковских полно предложений, о разного рода доступа к инфе.